软件风险和风险管理

一，软件风险类型：

（1）项目风险：

项目风险指潜在的预算、进度、人力(工作人员及组织)、资源、客户和需求等方面的问题以及它们对软件项目的影响。
影响因素：项目复杂度，规模，结构不确定
即如果项目风险变成现实，有可能会拖延项目的进度，增加项目的成本。

（2）技术风险

项目风险是指在设计、实现、接口、验证，维护等方面。
影响因素：规格说明书的歧义性，技术的正确性，不确定性，技术陈旧
技术风险威胁到开发软件的质量及软件交付时间，如果技术风险变成现实，则开发工作可能变得很困难或根本不可能。

（3）商业风险：

在信息系统项目中，商业风险威胁到要开发系统的生存能力。一般主要有 5 类商业风险：
市场风险：开发了一个没有人真正需要的优秀产品或系统
策略风险：开发的产品不再符合公司的整体商业策略
销售风险：开发了一个销售部门不知道如何去卖的产品
管理风险：由于重点的转移或人员的变动而失去了高级管理层的支持
预算风险：没有得到预算或人力上的保证

（4）可预测风险

从过去的项目经验推断出来的。

二，风险管理

只在项目进行过程中不断对风险进行识别、评估、和监控的过程，其目的是减少风险对项目的不利影响。
风险评估是，简历三组元关系：（Ri，Li，Xi）
Ri：风险
Li：风险发生概率
Xi：风险产生的影响
预测什么样的风险组合会影响参考水平值。

项目风险管理过程

包括如下内容：
(1)风险管理规划：决定如何进行、规划和实施项目风险管理活动。
(2)风险识别：判断哪些风险会影响项目，并以书面形式记录其特点。
(3)定性风险分析：对风险概率和影响进行评估和汇总，进而对风险进行排序，以便于随后的进一步分析或行动。
(4)定量风险分析：就识别的风险对项目总体目标的影响进行定量分析。
(5)应对计划编制：针对项目目标制订提高机会、降低威胁的方案和行动。
(6)风险监控：在整个项目生命周期中，跟踪已识别的风险、监测残余风险、识别新风险，实施风险应对计划，并对其有效性进行评估。

1，风险评估——风险控制的基础

对风险发生概率的评估和评价。

——风险识别：识别风险，形成风险列表

方法：
检查表法
德尔菲（专家调查法）
头脑风暴
情景分析

——风险分析：判定每一个风险出现的概率，产生影响以及重要性

风险值（风险的严重程度）R=F（P，I）

P：风险发生的概率
I：风险发生后对项目目标的影响

计算风险危险度

风险危险度=风向概率*风险损失

——风险优先级：按照每个风险的重要性排出一个风险优先级

风险的优先级通常是根据 风险暴露(Risk Exposure)设定。

风险曝光度(Risk Exposure)

风险暴露又称风险曝光度，测量的是资产的整个安全性风险，它将表示实际损失的可能性与表示大量可能损失的资讯结合到单一数字评估中。
在形式最简单的定量性风险分析中，风险曝光度(Risk Exposure)=风险损失*风险概率， 风险曝光度越大，风险级别就越高。

2，风险控制

目的：辅助项目组建立处理风险的策略。

风险化解方式

（1）风险避免（最好的办法）

（2）风险监控

——检查风险的化解程度及其变化(概率、损失)
——风险监控的方式
–监控和跟踪重要的(前10个)风险，记录风险危险度的变化以及风险化解的进展
–中间审查，在每个里程碑后进行小规模的走查
–任命风险官员(适合于大项目)，警告项目风险，防止项目经理和开发人员忽略计划中的风险管理

（3）RMMM计划

成立一个独立的风险缓解、监控、管理计划。
RMMM计划将所用风险分析工作文档化，并由项目管理者作为整个项目计划中的一部分来使用。
风险缓解是一种问题规避活动，风险监控是一种项目跟踪活动。